Até onde eu sei, não existe uma maneira "padrão" de fazer isso.

Eu sugiro fortemente o uso de declarações preparadas, apesar de suas preocupações atuais. O impacto no desempenho será insignificante - temos uma situação semelhante com vários milhares de declarações por segundo - a maioria também one-shots.

A segurança que você ganha deve pesar muito mais do que um problema de desempenho que você ainda nem viu. Na minha opinião esta é uma situação clara de "Não otimize prematuramente".

Em qualquer caso, se você realmente descobrir mais tarde que tem problemas de desempenho, certifique-se de que as declarações preparadas são realmente a causa, criando perfis com cuidado e, em seguida, procure alternativas. Até então, você deve evitar o incômodo de tentar obter a fuga certa.

Isso é ainda mais importante, pois deduzo que você está desenvolvendo algum tipo de site público - aplicativos internos raramente recebem tráfego suficiente para se preocupar com o desempenho de qualquer maneira.